使用 PowerShell 审核 M365 中的组成员身份更改

监视 Microsoft 365 中发生的更改对于优先考虑强大安全性的组织至关重要。确保安全性的一个重要方面是在 Microsoft 365 中跟踪组成员身份更改的过程。审核组成员身份更改有助于管理员确保合规性、调查任何可疑事件并管理 Microsoft 365 中的用户责任。

在本博客中，我们将探讨有助于监控组成员身份更改的可用选项。 此外，我们将深入研究一个多功能 PowerShell 脚本，该脚本使您能够生成 10 多个报告来审核组成员身份更改。

如何跟踪 Azure Active Directory 中的组成员身份更改？

通过使用以下任一方法，您可以审核 Microsoft 365 中的组成员身份更改：

Microsoft Purview 审核日志： Microsoft 365 中的统一审核日志可用于跟踪组成员身份更改。将过滤器应用于活动字段，例如“向群组添加成员”和“从群组中删除成员”，可以找到在M365。尽管可以导出生成的 Microsoft 365 审核日志，但无法根据您的偏好来安排或自定义它们。

Entra ID 审核日志：对 Azure Active Directory 审核日志中的类别字段应用“GroupManagement”筛选器使您能够跟踪组管理活动在M365中执行。但是，可能需要对活动字段应用其他过滤器才能获得所需的报告，但值得注意的是，报告仅限于过去 30 天。

PowerShell：虽然“Search-UnifiedAuditLog”cmdlet 能够通过克服上述挑战来生成所需的报告，但它也有一些缺点。此 cmdlet 提供 JSON 格式的审核日志，需要进一步处理才能提取所需的信息。

为了缓解上述挑战，我们创建了一个 PowerShell 脚本。该脚本简化了跟踪过程，捕获所有组中成员和所有者的添加或删除。此外，它还会检索组名称、添加或删除的成员的 UPN 以及事件的时间戳。让我们开始吧！

下载脚本：AuditGroupMembershipChanges.ps1

脚本亮点

1. 该脚本导出 10 多个群组成员身份更改报告。
2. 该脚本也可以使用启用 MFA 的帐户执行。
3. 它将审核结果导出到工作目录中的 CSV 文件格式。
4. 默认情况下，该脚本会检索 180 天的组成员身份更改日志。
5. 它允许您获取自定义期间的审核报告。
6. 它提供有关添加或删除的群组成员和所有者的详细信息。
7. 该脚本可以检索外部用户跨组的成员资格更改。
8. 它审核特定用户所做的成员资格修改。
9. 该脚本跟踪敏感组中的成员变化。
10. 在您确认后，它自动安装 EXO 模块。
11. 该脚本调度程序友好，即凭证可以作为参数传递。
12. 该脚本也支持基于证书的身份验证 (CBA)。

示例输出

该脚本将组成员身份更改的审核报告导出为指定格式的 CSV：

如何执行“审核组成员变更”脚本？

1. 下载提供的 PowerShell 脚本并在 Windows PowerShell 中打开它。
2. 使用以下方法之一执行脚本：

方法 1：您可以使用以下格式为 MFA 和非 MFA 帐户执行脚本。

.\AuditGroupMembershipChanges.ps1

上述脚本执行会导出过去 180 天内执行的组成员身份更改。

方法 2：对于无人值守方法，使用显式凭据执行脚本（调度程序友好）。

.\AuditGroupMembershipChanges.ps1 -UserName <UPN> -Password <Password>

通过此方法，您可以使用非 MFA 管理员帐户的任务计划程序来计划脚本。如果管理员帐户使用多重身份验证，您可以通过条件访问策略禁用 MFA，以便成功执行计划的脚本。

方法 3：对于基于证书的身份验证，请使用以下基本参数执行脚本。

.\AuditGroupMembershipChanges.ps1 -Organization <Domain> -ClientId <AppId> -CertificateThumbprint <CertThumbPrint>

要使用基于证书的凭据运行此 PowerShell 脚本，请在 Entra ID 中注册应用程序。您可以使用证书颁发机构颁发的证书或创建自签名 SSL 证书，许多管理员在内部方案中通常首选这种方式。

使用 PowerShell 审核 Microsoft 365 中的组成员身份更改

此 PowerShell 脚本通过启用以下操作来帮助跟踪组活动更改。

1. 审核过去 180 天内的组成员资格/所有权变更
2. 跟踪自定义期间之间的组成员身份变化
3. 单独检索群组的用户成员身份更改
4. 获取群组中所有者变更的历史记录
5. 查找添加到组或从组中删除的外部用户
6. 审核敏感群体的成员变更
7. 跟踪用户执行的成员资格更改
8. 导出更精细的组成员审核报告

1.过去 180 天内审核组成员/所有权变更

要生成在整个组织中执行的组成员资格活动，只需执行不带任何参数的脚本即可。

.\AuditGroupMembershipChanges.ps1

这将导出过去 180 天内对 Microsoft 365 环境中的组成员和所有者所做的任何更改。

当执行检索所有 M365 组中的组成员身份更改时，您还可以使用 PowerShell 审核 SharePoint Online 组成员身份。

2.跟踪自定义期间内的群组成员资格变化

虽然此脚本能够导出过去 180 天的数据，但您可以筛选和导出特定较短时间范围的结果。为此，请使用 StartDate 和 EndDate 参数。如果发生安全事件，分析事件发生期间的用户成员资格变化可以帮助识别潜在的入口点。

.\AuditGroupMembershipChanges.ps1 -StartDate 01/31/2024 -EndDate 02/29/2024

上述执行将导出2024年1月31日至2024年2月29日期间的群组成员资格和所有权审核日志。

3.单独检索群组的成员变更

单独检索 Microsoft 365 组中的成员身份更改，同时忽略所有者更改，可以通过精确定位用户特定的修改来增强组织重点。这确保了更有针对性的方法将用户从组中删除，从而最大限度地降低未经授权的访问和数据泄露的风险。

.\AuditGroupMembershipChanges.ps1 -MembershipChangesOnly

使用上面指定的参数“MembershipChangesOnly”执行脚本将仅检索所有 Microsoft 365 组中的成员身份更改。

通过了解用户所属的 Microsoft 365 组，管理员可以准确分配权限、监控组活动并确保敏感数据得到有效保护。

4. 获取 Microsoft 365 组中所有者更改的历史记录

就像跟踪 Microsoft 365 组中的成员资格更改一样，您可以监控从组中添加或删除的所有者。监视 Microsoft 365 中的组所有者更改可帮助您确保管理职责的顺利移交。

.\AuditGroupMembershipChanges.ps1 -OwnershipChangesOnly

使用参数“OwnershipChangesOnly”执行脚本将检索过去 6 个月内的 Microsoft 365 组所有者更改。

注意： 此脚本不能用于跟踪通讯组列表中的所有权更改。

5.查找添加到组或从组中删除的外部用户

识别添加到组中的访客和外部用户使管理员能够通过解决任何潜在的未经授权的访问来维护更加警惕的环境。使用参数“ExternalUserChangesOnly”将列出M365组中的外部用户操作。

.\AuditGroupMembershipChanges.ps1 -ExternalUserChangesOnly

上述格式会将过去 6 个月内添加到所有组或从所有组中删除的所有外部用户和访客导出为 CSV 文件。

此外，您可以审核 Microsoft 365 中的外部用户活动，以检测和响应任何可疑活动。

6.审计敏感群体的成员变动

在 Microsoft 365 中，审核成员资格更改对于包含敏感数据、资源或特权访问的组尤其重要。审核此类组中的成员资格更改有助于跟踪添加或删除成员的人员，确保组合规性并识别未经授权的添加。要检索特定组中的组成员身份更改，请使用此处所述的“GroupName”参数。

.\AuditGroupMembershipChanges.ps1 -GroupName “Governing Board Members”

上述执行将检索过去 180 天内在名为“Governing Board Members”的组中进行的成员活动。

您还可以使用 “GroupId” 参数传递组的 GUID。例如，

.\AuditGroupMembershipChanges.ps1 -GroupId “c4b3b726-7790-4557-a400-b3d18973185b"

7.跟踪特定用户执行的组成员身份更改

作为 Microsoft 365 管理员，您可以监控任何个人执行的所有权更改和成员资格更改。如果发现任何可疑活动，这有助于调查潜在的安全问题。

.\AuditGroupMembershipChanges.ps1 -PerformedBy [email protected]

此格式将导出一个 CSV 文件，其中包含 David 添加或删除的群组成员或所有者的详细信息。

8.导出更精细的团体成员审核报告

虽然上述执行为各种用例的组成员活动提供了有价值的见解，但脚本的功能并不受到限制。通过组合不同的参数，您可以生成更精细的报告，完全符合您的特定要求。以下是可以使用此脚本生成的详细审核报告的一些示例。

• 要监视特定用户在特定组中执行的组成员身份更改（所有者和成员），请使用以下执行。

.\AuditGroupMembershipChanges.ps1 -PerformedBy [email protected] -GroupName “Governing Board Members”

此格式将仅导出 David 在过去 180 天内在“理事会成员”组中执行的成员变更。

• 要跟踪特定用户执行的所有权更改，请运行如下所示的脚本。

.\AuditGroupMembershipChanges.ps1 -PerformedBy [email protected] -OwnershipChangesOnly

上述执行将检索 David 在所有组中执行的所有权更改。

• 要监视自定义时间范围内特定组中发生的组成员资格/所有权更改，请使用下面提供的执行。

.\AuditGroupMembershipChanges.ps1 -StartDate 02/01/2024 -EndDate 02/29/2024 -GroupName “Governing Board Members”

上述执行将导出 2024 年 2 月 1 日至 2024 年 2 月 29 日期间“理事会成员”组中发生的成员资格和所有权。

同样，您可以组合多个参数来检索更精细的审核报告。

AdminDroid - 免费监控 Microsoft 365 群组活动！

但是，PowerShell 脚本有助于使用各种过滤器审核组成员身份更改，管理员可能会寻求具有附加功能和选项的工具。如果您处于这种情况，那么 AdminDroid 是最佳选择，因为它为 Microsoft 365 提供具有自定义和图形表示的整体报告。

AdminDroid 提供各种免费的 Microsoft 365 群组报告，以有效管理和监控整个组织的群组。

Microsoft 365 组报告

• 所有小组报告
• 团体会员报告
• 嵌套组报告
• 通讯组和成员报告
• 启用邮件的组和安全组
• 云群组和同步群组
• 按成员数量划分的空群组和群组大小及更多

Microsoft 365 组审核报告

• 审核组创建
• 跟踪组属性更改
• 监控组成员身份变化
• 监控所有权变更
• 识别团体许可变更
• 查找已删除的群组及更多

免费 Azure AD 审核工具提供大量见解，可跟踪 Microsoft 365 中发生的更改。通过此工具，您可以监控用户登录、用户活动、组活动、密码更改、应用程序活动等。此外，Azure AD 报告工具可帮助您可视化 M365 用户、组、管理员、订阅和许可证的当前摘要。

除了通过 120 多个免费 报告进行 Entra ID 管理之外，AdminDroid 还通过 1800 多个预报告将其功能扩展到涵盖所有 Microsoft 365 服务-构建的报告和 30 多个仪表板。 AdminDroid M365 报告工具提供高级版免费 15 天，具有报告、审计、分析以及安全与合规性等全面功能。

为了满足您的 Microsoft 365 报告和审核需求，请立即下载 AdminDroid 并见证它如何为您提供帮助。

如果您需要澄清或对获取更详细的报告来审核组成员资格变更有任何疑问，请通过评论部分与我们联系。请继续关注 o365reports，获取更有洞察力的 Microsoft 365 管理博客和指南！